Gestão de Segurança em Comércio Eletrônico Professora: Renata Figueiredo

Segurança na Web Vídeo da Coluna Conect do Jornal da Globo.

Segurança Quando se pensa em segurança de informação a primeira idéia que surge é a proteção da mesma, não importando onde esteja armazenada. Mas a segurança da informação vai além. Deve satisfazer também a expectativa dos usuários no aspecto de que esta esteja disponível no local e no momento que necessitar que o conteúdo seja confiável, os dados corretos e que esteja protegida dos acessos não autorizados.

1. Incidentes de Segurança Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores. São exemplos de incidentes de segurança: · Tentativas de acessos não autorizados aos sistemas ou dados; · Ataques de negação de serviço; · Uso ou acesso não autorizado a um sistema; · Modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do proprietário do sistema; · Desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso.

O problema é que mesmo tomando-se todas as medidas necessárias, falhas de segurança podem ocorrer, uma vez que alguma vulnerabilidade ainda não divulgada pode ser explorada ou um novo tipo de ataque pode ser utilizado. Dessa forma, não há como afirmar que um dado sistema de segurança está isento de falhas. Isto se deve principalmente ao fato de que tais sistemas, bem como os serviços oferecidos na rede, são compostos por diversos softwares, que por sua vez, possuem milhares de linhas de código que não estão imunes a erros de programação.

Existem atualmente mais de 4 Existem atualmente mais de 4.500 formas conhecidas de ataques através da Internet. Os ataques conhecidos são baseados em vulnerabilidades típicas das aplicações web e tem se concentrado nas portas publicas (80 e 443) que não devem ser bloqueadas pelos firewalls comuns, pois os visitantes não acessariam os sites, nem as aplicações. Mesmo os firewalls mais modernos não conseguem analisar e filtrar a camada de Aplicação (camada 7 do modelo OSI). Uma aplicação típica, geralmente, está distribuída em vários servidores, rodando diversos aplicativos e para funcionar na velocidade adequada, ela necessita que as interfaces entre os diversos sistemas sejam construídas com a premissa que os dados passados através da mesma são confiáveis e não hostis.

Os ataques podem causar uma série de problemas, entre os quais: · Perdas Financeiras; · Transações Fraudulentas; · Acesso não autorizado aos dados, inclusive informações confidenciais; · Roubo ou modificação de Dados; · Roubo de Informações de Clientes; · Interrupção do Serviço; · Perda da confiança e lealdade dos clientes; · Dano à imagem da marca.

A segurança dos produtos disponíveis no mercado é assegurada pelos fabricantes, que fornecem periodicamente correções que os atualizam. Para o sistema aplicativo, freqüentemente desenvolvido localmente ou por terceiros, especificamente para a empresa, não existem correções de segurança. Segundo recentes pesquisas, aproximadamente 75% dos ataques ocorrem sobre os aplicativos específicos de cada empresa.

No caso da ocorrência de um incidente de segurança, é vital, mas ainda raro, o estabelecimento de programas de resposta a incidentes, nos quais estão incluídas as metodologias de análise e uma política de uso aceitável da rede. A política de uso aceitável da rede é um documento que define como os recursos computacionais da organização podem ser utilizados. Também é ela quem define os direitos e responsabilidades dos usuários. As empresas costumam dar conhecimento da política de uso aceitável no momento da contratação ou quando o funcionário começa a utilizar os recursos computacionais.

2. Tipos de usuários Existem basicamente dois tipos de usuários em redes de computadores, ambos com características perfeitamente definidas: usuários operacionais (ou de processamento) e usuários fonte. O que se torna necessário é definir quais as operações que estarão disponíveis para cada um deles, e compreender perfeitamente bem como uma Política de Segurança da Informação alcançará o sucesso desejado, a partir da adoção de medidas restritivas de acessibilidade aos dados.

2.1. Usuários Operacionais ou de Processamento São definidos como aqueles que necessitam utilizar os dados para qualquer tipo de processamento. As operações de processamento são baseadas em ações não degenerativas. Logicamente, restringindo a acessibilidade a tais operações, não se corre o risco de alterações dos valores iniciais dos dados. Resta definir o nível de acesso de cada um desses usuários (de acordo com as restrições de acessos) para se ter certeza de que o objetivo de preservar os dados estará sendo alcançada.

2.2. Usuários Fonte Usuários fonte são aqueles que originam os dados, aquele que gera o dado. Esses usuários devem ser criteriosamente escolhidos, pois são de fundamental importância para a empresa. A eles e somente a eles devem ser fornecidas acessibilidades para que realizem operações de manipulação de dados que se baseiam em ações degenerativas. Um Usuário Fonte pode vir a ser também um Usuário Operacional, todavia para estes casos devem ser bem separadas e analisadas essas duplicidades funcionais para que não firam os conceitos acima determinados.

3. Restrições de acesso aos dados A garantia da integridade dos dados prevê, ainda, outras ações que permitirão a criação de rotinas gerais de administração dos mesmos. Assim a cada acesso a um dado ou grupo de dados devem-se seguir os seguintes passos: · Identificar o Usuário - o usuário deve ser identificado, através de uma senha e uma identificação de acesso (login) que determina a sua acessibilidade e qual o seu nível de acesso dos dados; · Validar o Usuário - a partir da validação da senha e do login, o usuário deve ser transportado para a sua área de acesso, onde passará a ter os dados disponibilizados com total controle; · Conceder Privilégios - dependendo do nível em que se encontram, os usuários poderão receber privilégios, desde que não venham a ferir os níveis de acessibilidades e segurança.

O fato de um usuário ter sido identificado e autenticado não quer dizer que ele poderá acessar qualquer informação ou aplicativo sem qualquer restrição. Deve-se formalizar um controle específico, restringindo o acesso dos usuários apenas às aplicações, arquivos e utilitários imprescindíveis para desempenhar suas funções na organização. Esse controle pode ser feito por menus, funções ou arquivos. A concessão de privilégios e acessibilidades pode levar em consideração aspectos funcionais dentro da empresa, assim os privilégios passarão a gerar senhas por grupos funcionais que identificarão as funções departamentais de cada um dos usuários, além da identificação pessoal do mesmo. A garantia do nível de acessibilidades também estará sendo obtida, pois esta senha grupal deverá adotar o que chamamos de senhas por herança hierárquica em diversos níveis

Essas senhas por herança podem ainda conter o que denominamos de heranças múltiplas funcionais, ou seja, um mesmo usuário tem acessibilidades a grupos de dados cuja origem tem outras funções diferentes da sua.

Próxima aula 4. Segurança em Banco de Dados